信息安全:不只是成本 更是競(jìng)爭(zhēng)優(yōu)勢(shì)
CIO經(jīng)常被要求證明技術(shù)投資是物有所值的。但是,美國(guó)某家公司的CIO最近仍被這個(gè)問題以及提問者的身份弄得猝不及防?!笆袌?chǎng)總監(jiān)問我是否可以通過安全和隱私方面的措施構(gòu)建公司獨(dú)有的競(jìng)爭(zhēng)力。”該CIO回憶說。這位CIO要求不透露自己的名字。
這位CIO剛剛讀過一個(gè)安全方面投資的回報(bào)率分析案例,對(duì)此他持保留態(tài)度。這個(gè)案例分析來自于某電子商務(wù)咨詢公司對(duì)US Cutter公司的調(diào)查。經(jīng)過分析,該咨詢公司認(rèn)為,US Cutter通過在其電子商務(wù)站點(diǎn)上展示賽門鐵克認(rèn)證標(biāo)章(Norton Secured Seal),使得總體銷售提升了11%,而付費(fèi)搜索的銷售則大幅提升了52%.
另一位CIO自己承擔(dān)了案例總結(jié)的任務(wù) -- 假設(shè)其所在公司受到攻擊時(shí),如果沒有相應(yīng)的安全防護(hù)措施,會(huì)給公司業(yè)務(wù)、聲譽(yù)以及競(jìng)爭(zhēng)力帶來的傷害。
“我用自己的標(biāo)題和圖片作為演示的開頭,包括華盛頓郵報(bào)的頭條‘FCC Hacked!'.”Robert Naylor說。Naylor曾任聯(lián)邦通訊委員會(huì)(Federal Communications Commission,FCC)首席信息官,現(xiàn)在以網(wǎng)絡(luò)安全專家的身份服務(wù)于美國(guó)的情報(bào)系統(tǒng)。
“隨后,我問FCC的主席以及屋子里的其他人,是否要聽任這種事情的發(fā)生?!盢aylor說。當(dāng)時(shí),iPhone 5已經(jīng)研制完成,F(xiàn)CC比任何人更早的收到了設(shè)計(jì)圖。如果泄密,將給消費(fèi)者與公司帶來了嚴(yán)重的后果?!暗?,如果是政府部門被入侵,整個(gè)國(guó)家的經(jīng)濟(jì)就可能受到傷害。比如,某外國(guó)政府獲得了相關(guān)的信息,就可能提早開始進(jìn)行與iPhone相關(guān)的制造和生產(chǎn)。”Naylor解釋到。
隨著入侵事件的不斷發(fā)生以及媒體頭條的渲染,很多企業(yè)開始認(rèn)識(shí)到信息安全本質(zhì)上就是一種競(jìng)爭(zhēng)優(yōu)勢(shì)。但是,CIO們也同時(shí)發(fā)現(xiàn),要證明這一點(diǎn)并非易事。能夠有力證明信息安全和商業(yè)價(jià)值之間聯(lián)系的案例太少。那些確實(shí)以安全措施構(gòu)建競(jìng)爭(zhēng)優(yōu)勢(shì)的企業(yè)不愿意分享自身的經(jīng)驗(yàn)。而且,每個(gè)公司面對(duì)的安全威脅以及防護(hù)措施都是不同的。CIO和安全專家們雖然能夠爭(zhēng)取到更多的信息安全投資,但是整個(gè)過程都有一個(gè)共同點(diǎn):僅僅是準(zhǔn)備在事故發(fā)生時(shí)被動(dòng)地證明投資的正確性,而不是主動(dòng)地闡明企業(yè)業(yè)務(wù)會(huì)遭受的損失。
之前在一家制藥公司任職時(shí),Naylor就經(jīng)歷了知識(shí)產(chǎn)權(quán)被盜的事情。一家國(guó)外的競(jìng)爭(zhēng)對(duì)手盜取了某種新藥(已經(jīng)通過了美國(guó)食品藥品管理局(FDA)的審查)的研制公式?!坝捎谝呀?jīng)獲得了FDA的批準(zhǔn),競(jìng)爭(zhēng)對(duì)手推出的產(chǎn)品能夠順利上市,我們?cè)谶@種藥上面的銷售額也從預(yù)期的60億美元降到30億美元。與此同時(shí),我們還得為保護(hù)專利權(quán)而打訴訟戰(zhàn)。”Naylor回憶說。
這次泄密事件并非通過網(wǎng)絡(luò)?!半S著線上數(shù)據(jù)呈指數(shù)性的增長(zhǎng),相應(yīng)的安全投入?yún)s沒有跟上?!盢aylor表示。更糟糕的是,由于網(wǎng)絡(luò)安全威脅的多樣化,CIO們不知道該將有限的資金投入到哪個(gè)方面 – SQL注入攻擊、網(wǎng)絡(luò)釣魚(pishing)、APT攻擊、僵尸網(wǎng)絡(luò)(botnets)等等。
Naylor推薦其客戶采用一種新技術(shù),可以自動(dòng)化地隔離威脅、發(fā)送警報(bào)給相關(guān)人員并對(duì)威脅進(jìn)行分析。這種技術(shù)由一家創(chuàng)業(yè)公司(Naylor不愿提供其名字)開發(fā),通過與事先建立的網(wǎng)絡(luò)模式的比對(duì),分析入侵的模式和行為并隔離之。
安全措施給銀行帶來收入
上世紀(jì)90年代末,Sandy Lambert是花旗銀行的首席信息安全官(chief information security officer,CISO)。當(dāng)時(shí),信息安全的工作被視為純成本的投入。但是,同Naylor一樣,Lambert通過各種機(jī)會(huì)來證明安全工作的商業(yè)價(jià)值。在同一家潛在客戶的會(huì)議中,她展示了花旗銀行信息安全的整體規(guī)劃,強(qiáng)調(diào)了銀行各層級(jí)強(qiáng)烈的安全意識(shí),以及先進(jìn)的加密和數(shù)字簽名技術(shù)。
“當(dāng)時(shí)參與投標(biāo)的各家銀行都有安全舉措方面的說明,但是客戶事后告訴我,我們的安全規(guī)劃是最終贏得合同的主要因素之一 -- 信息安全直接給銀行帶來了收入?!盠ambert表示。她現(xiàn)在是安全咨詢公司Lambert & Associates LLC的董事長(zhǎng)和ISSA(信息安全系統(tǒng)協(xié)會(huì))的創(chuàng)始人。
提升全行業(yè)網(wǎng)絡(luò)安全和保持企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)之間的悖論
當(dāng)David Cullinane在2012年離任ebay首席信息安全官時(shí),其主導(dǎo)的信息安全規(guī)劃每花一美元,就能帶來價(jià)值10美元的風(fēng)險(xiǎn)消減。如今,越來越多的安全專家愿意分享如何通過信息安全構(gòu)筑企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì),Cullinane就是其中一員。
“信息安全應(yīng)該并且能夠成為企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì),但是,并非所有事情都是正面的。”Cullinane說:“那些基于信息安全在競(jìng)爭(zhēng)中獲勝的企業(yè)并不愿意公開其經(jīng)驗(yàn)。他們會(huì)說’嗯,我知道該做什么事情,這是我的核心競(jìng)爭(zhēng)力?!@種態(tài)度使得其他公司依舊暴露在威脅之下,我們有責(zé)任達(dá)成信息的共享和交流?!盋ullinane現(xiàn)在是咨詢公司SecurityStarfish的創(chuàng)始人和首席執(zhí)行官,該公司提供安全威脅的分析報(bào)告,并基于客戶的(很多在《財(cái)富》榜上有名)數(shù)據(jù)進(jìn)行技術(shù)開發(fā),幫助客戶降低風(fēng)險(xiǎn)避免損失。
為了推動(dòng)eBay在安全方面持續(xù)進(jìn)行投入,Cullinane并沒有采用什么高深復(fù)雜的方法。首先,通過視覺效果極強(qiáng)的PPT演示,讓安全規(guī)劃和商業(yè)目標(biāo)及核心業(yè)務(wù)緊密結(jié)合起來。他用9個(gè)方塊代表9種安全風(fēng)險(xiǎn),每種風(fēng)險(xiǎn)賦予一個(gè)數(shù)字,代表了其對(duì)于業(yè)務(wù)的價(jià)值。同時(shí),還包括每種風(fēng)險(xiǎn)發(fā)生的概率以及將會(huì)給企業(yè)帶來的損失?!巴ㄟ^圖表直觀的展示,人們可以看到潛在的損失是多么嚴(yán)重,從而也就知道該在什么地方進(jìn)行投入了。”Cullinane說。
相對(duì)于Niemen Marcus(美國(guó)精品百貨店)之類的企業(yè),eBay的業(yè)務(wù)模式?jīng)Q定了其面臨著更多網(wǎng)絡(luò)安全隱患。對(duì)此,Cullinane傾向于通過云計(jì)算方案來應(yīng)對(duì):“比如,亞馬遜的AWS就通過了PCI DSS認(rèn)證(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))。因此,將客戶數(shù)據(jù)放到上面,從安全角度說和之前并無差別?!?/P>